Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer & Commissie voor de bescherming van de persoonlijke levenssfeer Informatieveiligheid 13 november 2014
Informatieveiligheid persoonsgegevens Oud probleem Grondslag : monopolie & verplichting Wint aan belang 2
Belang Technologische evolutie vb : cloud Proliferatie van de ICT en kennis vb : smart Voorstel Europese verordening vb : richt to be forgotten Rechtspraak 3
Arrest Google Spain van 13 mei 2014 Hof van Justitie van de Europese Unie 4
38. Aangezien de activiteit van een zoekmachine de grondrechten op privéleven en op bescherming van persoonsgegevens dus aanzienlijk kan aantasten, bovenop de aantasting daarvan door de activiteit van de webredacteurs, moet de exploitant van deze machine als persoon die het doel van en de middelen voor deze activiteit vaststelt in het kader van zijn verantwoordelijkheden, zijn bevoegdheden en zijn mogelijkheden verzekeren dat deze activiteit voldoet aan de vereisten van richtlijn 95/46, opdat de daarin vervatte waarborgen hun volle werking kunnen krijgen en een doelmatige en volledige bescherming van de betrokkenen, en met name van de eerbiediging van hun recht op privéleven, daadwerkelijk tot stand kan worden gebracht. 5
Verdrag van 28 januari 1981 tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens, opgemaakt te Straatsburg Conventie 108 6
Art. 7 Beveiliging van gegevens Er dienen passende beveiligingsmaatregelen te worden getroffen om persoonsgegevens opgeslagen in geautomatiseerde bestanden te beschermen tegen toevallige of ongeoorloofde vernietiging, toevallig verlies en ongeoorloofde toegang, wijziging of verspreiding. 7
Richtlijn 95/46 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffend het vrije verkeer van die gegevens De privacyrichtlijn 8
Artikel 17 beveiliging van de verwerking 1. De lidstaten bepalen dat de voor de verwerking verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer dient te leggen om persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking doorzending van gegevens in een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking. Deze maatregelen moeten, rekening houden met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen gelet op de risico s die de verwerking en de aard van te beschermen gegevens met zich brengen. 9
2. De lidstaten bepalen dat de voor de verwerking verantwoordelijke, in geval van verwerking te zijnen behoeve, een verwerker moet kiezen die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerking en moet toezien op de naleving van die maatregelen. 10
3. De uitvoering van verwerkingen door een verwerker moeten worden geregeld in een overeenkomst of een rechtsakte die de verwerker bindt jegens de voor de verantwoordelijke en waarin met name wordt bepaald dat: - de verwerker slechts handelt in opdracht van de voor de verwerking verantwoordelijke, - de in lid 1 bedoelde verplichtingen, zoals gedefinieerd door de wetgeving van de lidstaat waarin de verwerker is gevestigd, eveneens op deze persoon rusten. 11
Vlaamse Toezichtcommissie o De Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer WIE Opgericht bij E-GOV decreet 18 juli 2008 Verantwoording aan Vlaams Parlement Controleren van stromen van persoonsgegevens die uitgaan van een Vlaamse instantie (cf. decreet openbaarheid bestuur) ook lokale besturen ook onderwijsinstellingen Hoe: 1 machtigen van die stromen (criteria privacywet zie verder) 2 adviezen (regelgeving, VDI-decreet) 3 beantwoorden van vragen en begeleiding 12
Vlaamse Toezichtcommissie 6 effectieve leden o 3 leden uit CBPL (voorzitter CBPL=voorzitter VTC) o jurist, informaticus, beroepservaring in beheer van persoonsgegevens 6 plaatsvervangende leden WIE Mandaat 5 jaar en hernieuwbaar Vergaderingen: 1x maand 13
Informatieveiligheid Volgen van reglementen en procedures Voor Vlaamse instanties gelden de privacywet het e-govdecreet Risicobeheersing - informatieveiligheid sensu stricto 14
Informatieveiligheid Volgen van reglementen en procedures owaarom? Garanties bieden aan burgers voor veilige verwerking van persoonsgegevens door de Vlaamse instanties 2 ledig - evenwicht: o efficiënte en effectieve dienstverlening garanderen; o bescherming persoonlijke levenssfeer. 15
Informatieveiligheid 16
Informatieveiligheid ohet e-govdecreet: Decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer http://vtc.corve.be/docs/egov_decreet.pdf 17
Informatieveiligheid Artikel 6: verplichtingen Vlaamse Bestuursinstanties 1. De instanties zijn in ieder geval verplicht : 1 persoonsgegevens te verwerken overeenkomstig de privacywet; 2 bij iedere nieuwe toepassing van het elektronische bestuurlijke gegevensverkeer vooraf adequate technische en organisatorische maatregelen in te bouwen voor de naleving van de privacywet; 3 op elk moment te waken over de kwaliteit en de veiligheid van gegevens en alle maatregelen te treffen om een perfecte bewaring van persoonsgegevens te garanderen; 4 de toezichtcommissie te ondersteunen bij de vervulling van haar opdrachten; 5 de toezichtcommissie informatie te verstrekken en inzage in alle dossiers en informatieverwerkende systemen te verschaffen telkens als ze daarom vraagt. 18
Informatieveiligheid Artikel 8: machtigingsverplichting De elektronische mededeling van persoonsgegevens door een instantie vereist een machtiging van de Toezichtcommissie[...] 19
Informatieveiligheid Artikel 9: Veiligheidsconsulent Iedere instantie die een authentieke gegevensbron beheert die persoonsgegevens bevat, iedere instantie die elektronische persoonsgegevens ontvangt of uitwisselt, en iedere entiteit die overeenkomstig artikel 4, 3, aangewezen is en persoonsgegevens verwerkt, wijst een veiligheidsconsulent aan. De Vlaamse Regering bepaalt de opdrachten en de manier van aanwijzing van die veiligheidsconsulenten. 20
Informatieveiligheid Artikel 9: Veiligheidsconsulent o advies en aanbevelingen omtrent de uitvoering van het veiligheidsbeleid; o onder rechtstreeks gezag van verantwoordelijke voor dagelijks bestuur; o kennis over informatieveiligheid en informaticaomgeving van de instantie; o voldoende tijdsbesteding; o geen onverenigbaarheid http://vtc.corve.be/docs/e_gov_decreet_bvr_veiligheid.pdf http://vtc.corve.be/docs/aanvraag_advies_aanstelling_veiligheidscons ulent.doc 21
Informatieveiligheid Voorwaarden in machtigingen o Veiligheidsconsulent o Veiligheidsplan VTC: machtiging zal pas in werking treden voor lokale besturen die voldoen aan voorwaarden privacycommissie eist dezelfde voorwaarden 22
Informatieveiligheid vb: CBPL: machtiging RR nr. 13/2013: machtiging treedt pas in werking voor lokale besturen die voldoen aan voorwaarden Machtiging toegang Rijkregister voor niet-inwoners http://www.privacycommission.be/sites/privacycommissio n/files/documents/beraadslaging_rr_13_2013.pdf http://www.privacycommission.be/nl/node/14929 23
Informatieveiligheid CBPL: machtiging RR nr. 13/2013: OM DEZE REDENEN het Comité 1 machtigt de gemeenten, bedoeld in punt I, die aan het Comité een schriftelijke en ondertekende verbintenis zullen sturen van instemming met de voorwaarden van de onderhavige beraadslaging, om voor onbepaalde duur een permanente toegang te hebben tot de informatie vermeld in artikel 3, eerste lid, 1 tot 6 (de plaats van geboorte en overlijden uitgezonderd), 8 tot 10, 12, 13 en 14 (alleen IT 195) WRR, alsook opeenvolgende wijzigingen. 24
Informatieveiligheid CBPL: machtiging RR nr. 13/2013: Voor kleine gemeenten niet vanzelfsprekend om iemand met de taak van VC te belasten: geen bezwaar tegen dat meerdere gemeenten afspreken om beroep te doen op eenzelfde consulent inzake informatiebeveiliging 25
Informatieveiligheid CBPL: machtiging RR nr. 28/2009: machtiging voor de bibliotheken: http://www.privacycommission.be/sites/privacycommission/files/doc uments/beraadslaging_rr_028_2009_0.pdf Zie Bibnet http://www.bibnet.be/portaal/bibnet/lokale_ondersteuning/rfid/ei D-kaart + herinneringsbrief Bibliotheken krijgen van de privacycommissie tijd tot 1 mei 2014 om zich in regel te stellen met bovenstaande aanvragen. 26
Informatieveiligheid Informatieveiligheidsplan - ISO 27002 norm als inspiratie (cf. IT-dienst) - Richtsnoeren privacycommissie http://www.privacycommission.be/sites/privacycommission/files/documents/ richtsnoeren_informatiebeveiliging_0.pdf - Richtsnoeren voor steden en gemeenten en integratie met OCMW http://vtc.corve.be/infoveiligheid.php 27
Informatieveiligheid Informatieveiligheidsplan! risico-analyse! awareness! voldoende middelen! stappenplan! contract met de verwerker (dataleverancier, (onder)aannemer) 28
Informatieveiligheid Informatieveiligheidsplan Hoofdstukken: 1. Risico 2. Beleid 3. Organisatie: intern + externe partijen 4. Bedrijfsmiddelen: classificatie informatie! 5. Personeel 6. Fysieke omgeving 7. Communicatie en operationele procedures 8. Toegang tot persoonsgegevens 9. Aanschaffen, ontwikkelen en onderhouden informatiesystemen 10. Informatiebeveiligingsincidenten 11. Bedrijfscontinuïteit 12. Naleving 29
Wet van 8 december 1992 voor de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. Privacywet 30
Art. 16. 1. Indien de verwerking wordt toevertrouwd aan een verwerker, moet de verantwoordelijke voor de verwerking, en in voorkomend geval zijn vertegenwoordiger in België : 1 een verwerker kiezen die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerking; 2 toezien op de naleving van die maatregelen, met name door ze vast te leggen in contractuele bepalingen; 3 de aansprakelijkheid van de verwerker ten aanzien van de verantwoordelijke voor de verwerking vaststellen in de overeenkomst; 4 met de verwerker overeenkomen dat de verwerker slechts handelt in opdracht van de verantwoordelijke voor de verwerking en dat de verwerker is gebonden door dezelfde verplichtingen als deze die waartoe de verantwoordelijke in toepassing van paragraaf 3 is gehouden; 5 in een geschrift of op een elektronische drager de elementen van de overeenkomst met betrekking tot de bescherming van de gegevens en de eisen met betrekking tot de maatregelen bedoeld in paragraaf 3 vaststellen. 31
Art. 16. 2. De verantwoordelijke voor de verwerking of, in voorkomend geval, zijn vertegenwoordiger in België moet : 1 er nauwlettend over waken dat de gegevens worden bijgewerkt, dat de onjuiste, onvolledige en niet ter zake dienende gegevens, alsmede die welke zijn verkregen of verder verwerkt in strijd met de artikelen 4 tot 8, worden verbeterd of verwijderd; 2 ervoor zorgen dat voor de personen die onder zijn gezag handelen, de toegang tot de gegevens en de verwerkingsmogelijkheden, beperkt blijven tot hetgeen die personen nodig hebben voor de uitoefening van hun taken of tot hetgeen noodzakelijk is voor de behoeften van de dienst; 3 alle personen die onder zijn gezag handelen, kennisgeven van de bepalingen van deze wet en haar uitvoeringsbesluiten, alsmede van alle relevante voorschriften inzake de bescherming van de persoonlijke levenssfeer die bij het verwerken van persoonsgegevens gelden; 4 zich ervan vergewissen of programma's voor de geautomatiseerde verwerking van persoonsgegevens in overeenstemming zijn met de vermeldingen van de aangifte waarvan sprake is in artikel 17 en dat er geen wederrechtelijk gebruik van wordt gemaakt. 32
Art. 16. 3. Eenieder die handelt onder het gezag van de verantwoordelijke voor de verwerking of van de verwerker alsmede de verwerker zelf, die toegang heeft tot persoonsgegevens, mag deze slechts in opdracht van de verantwoordelijke voor de verwerking verwerken, behoudens op grond van een verplichting door of krachtens een wet, een decreet of een ordonnantie. 33
Art. 16. 4. Om de veiligheid van de persoonsgegevens te waarborgen, moeten de verantwoordelijke voor de verwerking, en in voorkomend geval zijn vertegenwoordiger in België, alsmede de verwerker, de gepaste technische en organisatorische maatregelen treffen die nodig zijn voor de bescherming van de persoonsgegevens tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, evenals tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van persoonsgegevens. Deze maatregelen moeten een passend beveiligingsniveau verzekeren, rekening houdend, enerzijds, met de stand van de techniek ter zake en de kosten voor het toepassen van de maatregelen en, anderzijds, met de aard van de te beveiligen gegevens en de potentiële risico's. Op advies van de Commissie voor de bescherming van de persoonlijke levenssfeer kan de Koning voor alle of voor bepaalde categorieën van verwerkingen aangepaste normen inzake informaticaveiligheid uitvaardigen. 34
35
36
37
Referentiemaatregelen voor de beveiliging van elke verwerking van persoonsgegevens - de algemene veiligheidsnormen voor alle verwerkingen van persoonsgegevens - 38
39
10 actiedomeinen 1. Veiligheidsbeleid 2. Veiligheidsconsulent 3. Organisatie en menselijke aspecten van de beveiliging 4. Fysieke beveiliging van de omgeving 5. Beveiliging van de netwerken 6. Logische beveiliging van de toegang 7. Logging, opsporing en analyse van de toegang 8. Toezicht, nazicht en onderhoud 9. Beheer van veiligheidsincidenten en continuïteit 10. Documentatie 40
Richtsnoeren m.b.t. de informatiebeveiliging van persoonsgegevens - de veiligheidsnormen voor verwerking waarvoor een voorafgaande machtiging vereist is - 41
42
43
44
Richtsnoeren met betrekking tot de informatiebeveiliging van persoonsgegevens in steden en gemeenten, in instellingen die deel uitmaken van het netwerk dat beheerd wordt door de Kruispuntbank van de sociale zekerheid en bij de integratie OCMWgemeente 45
46
47
48
Rijksregisterwet Wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen Artikel 10 : iedere openbare overheid die de toegang tot of de mededeling van informatiegegevens van het Rijksregister verkregen heeft, wijst een consulent inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer aan al dan niet onder haar personeel de identiteit van de consulent. Wordt medegedeeld aan het sectoraal comité van het Rijksregister 49
Wet kruispuntbank voor de sociale zekerheid Wet van 15 januari 1990 houdende oprichting en organisatie van een kruispuntbank van de sociale zekerheid Hoofdstuk IV : De bescherming van de sociale gegevens van persoonlijke aard. Afdeling 3 : De veiligheidsconsulenten Artikel 24 : Iedere instelling van sociale zekerheid wijst, al dan niet ander haar personeel, een veiligheidsconsulent aan. Artikel 49 : het meldingsrecht aan het sectoraal comité 50
18 MAART 2014. Wet betreffende het politionele informatiebeheer Onderafdeling 2 De consulent voor de veiligheid en de bescherming van de persoonlijke levenssfeer. Elke politiezone wijst een consulent voor de veiligheid en de bescherming van de persoonlijke levenssfeer aan. Hij oefent zijn taken volledig onafhankelijk uit. Hij brengt rechtstreeks verslag uit aan de korpschef van de lokale politie. 51
Dank u voor uw aandacht 52